El hacker parece ser White Hat. Aprovechó un error en el contrato inteligente para el nuevo producto, Bonos OHM.
Según PeckShield, parece que el «contrato BondFixedExpiryTeller tiene una función de redeem()() que no válida correctamente la entrada». Sin embargo, la empresa de seguridad blockchain aclaró que Bond Protocol escribió el contrato inteligente afectado.
It seems the related @OlympusDAO's BondFixedExpiryTeller contract has a redeem() function that does not properly validate the input, resulting in ~$292K loss. https://t.co/dkhC5Ex9sz https://t.co/ikidpLyBga pic.twitter.com/wu5tUrepS6
— PeckShield Inc. (@peckshield) October 21, 2022
OlympusDAO confirma exploit
OlympusDAO es un protocolo de moneda de reserva descentralizado que se lanzó el año pasado. Recientemente, comenzó a probar su producto OHM Bonds. Tras el exploit, la DAO informó a los miembros del hackeo en el servidor de Discord.
“Esta mañana, ocurrió un exploit a través del cual el atacante pudo retirar aproximadamente 30,000 OHM ($300, 000) del contrato de bonos de OHM en Bond Protocol. Este error no fue encontrado por tres auditores, ni por nuestra revisión interna del código, ni informado a través de nuestra recompensa por errores de Immunefi”,
Se lee en el anuncio.
OlympusDAO agregó que los fondos afectados fueron limitados debido a la implementación por etapas.
La cantidad robada es solo una fracción de la recompensa de 3,3 millones de dólares que el hacker podría haber reclamado si hubiera informado del exploit.
En ese momento, el equipo de DAO dijo que había cerrado los mercados afectados y ahora estaba buscando formas de compensar a los usuarios afectados.
Hacker devuelve fondos robados
Mientras tanto, el equipo de OlympusDAO no tuvo que esperar mucho, ya que el hacker devolvió todos los fondos.
La actualización de la comunidad DAO dice: “Los fondos se han devuelto a la billetera DAO. Nos comunicaremos sobre el pago del bono de OHM y el plan para avanzar en las próximas horas”.
El hacker no reveló por qué eligió devolver el fondo. Sin embargo, algunos han postulado que podría estar llamando la atención sobre el error.
Otros dicen que podría haber devuelto los fondos debido a las enormes recompensas asociadas al descubrimiento de un error.
Sea lo que sea, el hack subyace a la vulnerabilidad de los contratos inteligentes de DeFi incluso cuando la tecnología está mejorando.
El espacio criptográfico vio un robo récord de criptomonedas de las plataformas DeFi en octubre.
Algunos de los protocolos afectados incluyen Mango Markets, Moola Market, BNB Chain y TempleDAO explotados por cientos de millones.